Contenido del análisis
El Decreto 904 no es un reglamento aislado: es el eslabón operativo de una cadena normativa que arranca en la Constitución de 2008 y desciende hasta las resoluciones técnicas de la Superintendencia de Protección de Datos Personales (SPDP) emitidas en 2025.
La Constitución de la República del Ecuador (CRE, 2008) reconoce en su artículo 66 numeral 19 el derecho a la protección de datos personales como un derecho fundamental autónomo e independiente del derecho a la intimidad. Esto significa que el titular puede exigir su tutela directamente mediante acción de protección (art. 88 CRE) sin necesidad de demostrar afectación a otro derecho conexo. El numeral 11 del mismo artículo protege además el derecho a guardar reserva sobre las convicciones personales, lo que extiende la protección a datos de carácter ideológico, religioso y de conciencia.
- Art. 1 LOPDP — objeto y finalidad de la ley
- Art. 2 LOPDP — ámbito de aplicación material y personal
- Art. 3 LOPDP — ámbito territorial (principio de establecimiento y criterio de orientación al mercado)
- Art. 66.11 CRE — derecho a reserva sobre convicciones
- Art. 88 CRE — acción de protección para tutela de derechos
- Art. 213 CRE — naturaleza jurídica de las Superintendencias
El Reglamento extiende la aplicación de la LOPDP de forma extraterritorial, siguiendo el modelo del Reglamento General de Protección de Datos europeo (RGPD). El criterio determinante no es la sede del responsable, sino el lugar donde reside el titular o donde se dirigen los efectos del tratamiento.
El artículo 2 establece que el Reglamento aplica a cualquier persona natural o jurídica —pública o privada, nacional o extranjera— que trate datos en Ecuador o cuyas actividades como responsable o encargado tengan efectos sobre titulares en Ecuador. Esta redacción es deliberadamente amplia y cubre a plataformas digitales, proveedores de servicios cloud y operadores de comercio electrónico sin presencia física en el país.
El artículo 3 impone la obligación de designar un apoderado especial domiciliado en Ecuador cuando el responsable o encargado no está establecido en territorio nacional. Dicho apoderado debe tener facultades suficientes para comparecer ante la SPDP y ante jueces ecuatorianos. La excepción aplica únicamente cuando el tratamiento sea ocasional, no implique categorías especiales de datos a gran escala y no entrañe riesgo significativo.
- Art. 3 LOPDP — ámbito territorial y criterio de establecimiento
- Arts. 2–3 Resolución SPDP de septiembre 2024 — requisitos del apoderado especial (persona natural ecuatoriana o extranjera residente; persona jurídica con objeto social compatible)
- Art. 3 RGPD (UE) 2016/679 — norma análoga en el derecho comparado
- Art. 76.7 CRE — derecho al debido proceso; el apoderado garantiza el ejercicio de este derecho frente a la SPDP
Empresas como plataformas de streaming, redes sociales y proveedores SaaS que operen sobre usuarios ecuatorianos sin oficina en Ecuador deben designar su apoderado especial. La SPDP puede iniciar actuaciones previas y requerir información a estas entidades directamente o a través de sus apoderados.
La LOPDP establece siete principios rectores que el Reglamento desarrolla y operativiza. Todo tratamiento de datos —independientemente de su base legal— debe cumplir con todos ellos de forma simultánea.
El artículo 7 del Reglamento desarrolla las cuatro bases legitimadoras autónomas distintas del consentimiento: (1) misión de interés público o ejercicio de poderes públicos; (2) intereses vitales del titular o de terceros; (3) interés legítimo del responsable; y (4) fuente accesible al público. El interés legítimo exige superar una prueba de ponderación tripartita: evaluar el interés del responsable, el impacto sobre el titular y las garantías adicionales adoptadas.
- Arts. 6–13 LOPDP — principios rectores del tratamiento
- Art. 7 LOPDP — bases de legitimación
- Resolución SPDP-SPD-2025-0041-R — Norma general sobre interés legítimo como base de legitimación
- Art. 6 RGPD (UE) — base comparada para los principios
- Art. 66.19 CRE — fundamento constitucional del principio de licitud
El consentimiento es la base legitimadora más relevante en la práctica, pero también la más exigente en términos formales. El Reglamento impone requisitos que van más allá de la simple aceptación de términos y condiciones.
El artículo 5 del Reglamento establece que el consentimiento debe ser libre, informado, específico e inequívoco. Debe reflejarse mediante una declaración o una clara acción afirmativa; el silencio y la inacción no presumen consentimiento. Cuando el responsable requiera consentimiento explícito (para datos sensibles, menores, decisiones automatizadas), deberá informar previamente sobre los tipos de tratamiento, finalidades, tiempo de conservación, medidas de protección y consecuencias de la entrega.
La revocatoria del consentimiento (art. 6) opera en cualquier momento, sin necesidad de justificación, y no afecta la licitud del tratamiento anterior. El responsable debe: (a) contar con un procedimiento sencillo para revocar, y (b) suspender el tratamiento en cuanto reciba la notificación. En la práctica, esto implica que los sistemas de información deben contar con un mecanismo técnico efectivo de opt-out.
- Art. 7 LOPDP — definición y requisitos del consentimiento
- Art. 10 LOPDP — consentimiento para menores e incapaces
- Arts. 19 RGLOPDP — datos de menores de 15 años: consentimiento del representante legal
- Resolución SPDP-SPD-2025-0006-R — cláusulas de protección en contratos (complementa la formalidad del consentimiento contractual)
Incluir el consentimiento al tratamiento de datos dentro de los términos y condiciones generales, sin diferenciarlo claramente. Esto invalida el consentimiento porque no es específico ni libre. La SPDP verificó este defecto en el expediente contra la FEF (2025), donde la política de privacidad enumeraba derechos no reconocidos por la LOPDP y omitía otros sí reconocidos.
La LOPDP reconoce ocho derechos para el titular de los datos. El Reglamento regula los canales, plazos y formalidades para ejercerlos, y establece el sistema de reclamos ante la SPDP cuando el responsable no responde o vulnera los derechos.
El Reglamento fija el siguiente procedimiento para ejercer cualquier derecho: el titular presenta solicitud con sus datos de identificación, descripción del dato y derecho a ejercer (art. 13). Si la solicitud es incompleta, el responsable tiene 5 días para solicitar aclaración y el titular tiene 10 días para completarla (art. 14). El responsable registra todas las solicitudes y su resolución (art. 15). Si el titular no obtiene respuesta o considera que sus derechos han sido vulnerados, puede acudir a la SPDP mediante reclamo (art. 16).
- Arts. 13–22 LOPDP — catálogo de derechos del titular
- Arts. 63–66 LOPDP — procedimiento de medidas correctivas y sancionatorio ante la SPDP
- Código Orgánico Administrativo (COA), Libro III — supletorio para el procedimiento de reclamo
- Art. 75 CRE — acceso gratuito a la justicia; el ejercicio de derechos ante el responsable no puede generar costo para el titular
El Capítulo IV regula situaciones de especial sensibilidad donde las reglas generales requieren ajustes en función del sujeto titular o la naturaleza de los datos.
Datos de fallecidos (art. 17). Los derechos de acceso, rectificación, actualización y eliminación pueden ejercerse por los herederos o por personas que el fallecido haya designado expresamente, acreditando su condición mediante instrumentos reconocidos en el ordenamiento jurídico ecuatoriano (testamento, designación notarial, etc.). Esta disposición concuerda con el art. 23 LOPDP y reconoce la llamada "herencia digital".
Datos crediticios (art. 18). Es lícito el tratamiento de datos que refleje el cumplimiento o incumplimiento de obligaciones comerciales o crediticias. La regulación específica queda a cargo de la Junta de Política y Regulación Financiera (para bancos, cooperativas, emisores de tarjetas) y de la Superintendencia de Bancos. Esto conecta con las bases de datos de buró de crédito que operan en Ecuador (Equifax / Datacrédito).
Datos de menores (arts. 19–20). Para menores de 15 años se requiere el consentimiento del representante legal, incluso para datos no sensibles. A partir de los 15 años el adolescente puede consentir directamente, siempre que el responsable le informe en lenguaje adecuado a su edad. El representante legal del adolescente mayor de 15 puede otorgar también ese consentimiento, pero no puede revocarlo si el adolescente lo otorgó en su calidad de titular. El artículo 20 establece que ningún consentimiento obtenido sobre datos de menores puede menoscabar su interés superior, conforme al Código de la Niñez y Adolescencia.
- Art. 23 LOPDP — datos de personas fallecidas
- Art. 24 LOPDP — datos crediticios
- Art. 10 LOPDP — consentimiento de menores e incapaces
- Art. 44 CRE — derechos de los niños, niñas y adolescentes
- Arts. 8–9 Código de la Niñez y Adolescencia — interés superior del niño
- Art. 25 LOPDP — categorías especiales de datos (datos sensibles)
El umbral de los 15 años en Ecuador es inferior al de 16 años fijado por el RGPD europeo como regla general. Varios países de la Unión Europea aplican el umbral de 13 años (el mínimo permitido por el RGPD). Ecuador optó por un estándar más protector, alineado con la protección reforzada que otorga el Código de la Niñez.
El Reglamento regula en dos capítulos separados la transferencia a terceros en territorio nacional (cap. V) y las transferencias fuera del país (cap. XII). El sistema es escalonado: a mayor riesgo para el titular, mayores garantías exigidas.
Transferencias nacionales (arts. 21–23). La comunicación de datos a un tercero dentro de Ecuador requiere consentimiento del titular o que los datos estén previamente disociados o anonimizados. Las excepciones sin consentimiento son: (1) cumplimiento de funciones legítimas del responsable y el destinatario, obligándose este último a cumplir la normativa; y (2) consentimiento previo revocable. El titular ejerce sus derechos directamente ante el responsable original, quien debe notificar al tercero destinatario.
Transferencias internacionales (arts. 71–78). El sistema de garantías es triple: (a) nivel adecuado de protección reconocido por la SPDP mediante resolución motivada — hacia esos países no se requiere autorización previa; (b) garantías adecuadas — normas corporativas vinculantes, cláusulas tipo, códigos de conducta o certificaciones; y (c) autorización caso por caso de la SPDP para situaciones no contempladas. Todas las transferencias internacionales deben registrarse en el Registro Nacional de Protección de Datos.
- Arts. 51–58 LOPDP — transferencia o comunicación de datos
- Resolución SPDP-SPD-2025-0024-R — normativa general para transferencias nacionales e internacionales
- Resolución SPDP-SPD-2026-0004-R — Norma General de Transferencias (en vigor 2026)
- Art. 75 LOPDP — Registro Nacional de Protección de Datos Personales
El Capítulo VI establece el régimen de notificación obligatoria de incidentes de seguridad, una de las obligaciones con mayor impacto operativo para las organizaciones.
El artículo 24 obliga al responsable a notificar simultáneamente a la SPDP y a la ARCOTEL (Agencia de Regulación y Control de Telecomunicaciones) cualquier vulneración de seguridad de datos personales, siempre que sea probable que constituya un riesgo para los derechos y libertades de las personas. El artículo 25 precisa que el objetivo de esta notificación es permitir que ambas autoridades lleven un registro estadístico para adoptar medidas de seguridad sistémicas.
El artículo 26 detalla el contenido mínimo de la notificación: naturaleza y tipo de vulneración, datos afectados, titulares involucrados, sistemas comprometidos, causa presunta, volumen de datos expuestos, medidas adoptadas y evaluación del riesgo. Esta información debe enviarse incluso si la investigación interna no está concluida (notificación provisional). El artículo 27 regula la notificación del encargado al responsable. El artículo 28 regula la notificación al titular afectado, que debe realizarse en lenguaje claro y sencillo.
- Arts. 37–44 LOPDP — seguridad del tratamiento y medidas técnicas
- Art. 33 LOPDP — deber general de seguridad del responsable
- Ley Orgánica de Telecomunicaciones — competencias de la ARCOTEL en materia de incidentes en redes
- Art. 196 COIP — delito de acceso no consentido a sistemas informáticos (complementa la responsabilidad penal ante vulneraciones)
Datos destruidos o no disponibles · Datos alterados, corrompidos o incompletos · Pérdida de control o acceso por parte del responsable · Tratamiento no autorizado o ilícito, incluyendo divulgación a destinatarios no autorizados. La evaluación del riesgo es el criterio determinante: si la vulneración es improbable que genere riesgo, no se activa la obligación de notificación al titular (sí persiste la notificación interna y el registro del incidente).
El DPD es la figura clave de la autorregulación institucional. Su función es asesora e independiente: no decide ni ejecuta, sino que supervisa que el responsable y el encargado cumplan la normativa.
El artículo 48 define al delegado como la persona natural que asesora, vela y supervisa de forma independiente el cumplimiento de las obligaciones del responsable y el encargado. No puede ser sancionado por ejercer sus funciones (art. 51), y si es removido o sancionado por razones vinculadas a su cargo puede notificarlo a la SPDP, que valorará las circunstancias y podrá iniciar acciones.
El artículo 55 establece los requisitos mínimos para ser delegado: estar en goce de los derechos políticos, ser mayor de edad, tener título de tercer nivel en Derecho, Sistemas de Información, Comunicación o Tecnologías, y acreditar al menos cinco años de experiencia profesional. La Resolución SPDP-SPD-2025-0028-R añade el reglamento específico del DPD, incluyendo formación continua obligatoria (Resolución SPDP-SPD-2025-0004-R).
El artículo 56 establece impedimentos: no pueden ser delegados quienes formen parte de los órganos de administración del responsable/encargado, sus socios o accionistas, cónyuges de directores o administradores, parientes hasta cuarto grado de consanguinidad, o quienes tengan conflictos de intereses.
- Arts. 45–50 LOPDP — delegado de protección de datos personales
- Resolución SPDP-SPD-2025-0028-R — Reglamento del Delegado de Protección de Datos
- Resolución SPDP-SPD-2025-0004-R — Reglamento de formación para DPD
- Art. 37 RGPD (UE) — figura análoga del Data Protection Officer (DPO)
- Art. 52 RGLOPDP — posibilidad de designar delegado suplente
Instituciones financieras y cooperativas · Entidades de salud y farmacéuticas · Instituciones educativas · Empresas de telecomunicaciones e internet · Empresas tecnológicas y de inteligencia artificial · Proveedores de servicios de videovigilancia · Empresas de publicidad comportamental. Fuera de estas categorías obligatorias, cualquier responsable puede designar un delegado de forma voluntaria (art. 52 RGLOPDP — "buenas prácticas").
El sistema sancionatorio de la LOPDP y su Reglamento distingue entre infracciones leves y graves, graduando las multas en función del volumen de negocio del infractor y los criterios de agravación o atenuación definidos por la SPDP.
| Tipo de infracción | Ejemplos | Multa (sector privado) | Multa (servidor público) |
|---|---|---|---|
| Leve | Falta de registro de actividades, incumplimiento de plazos de respuesta a titulares, aviso de privacidad incompleto | 0,1% del volumen de negocio anual | Hasta 10 salarios básicos unificados (SBU) |
| Grave | Tratamiento sin base legitimadora, vulneración de principios, incumplimiento de medidas de seguridad, obstaculización del ejercicio de derechos, transferencias internacionales sin garantías | Hasta 1% del volumen de negocio anual | Hasta 20 SBU + posible suspensión del cargo |
La Resolución SPDP-SPD-2025-0022-R aprueba la metodología de cálculo de multas, que aplica un Anexo I con variables de graduación: intencionalidad, reiteración, naturaleza del perjuicio causado, número de titulares afectados, tipo de datos involucrados y medidas adoptadas tras la infracción. El procedimiento sancionatorio se rige por el COA (Libro III) y puede incluir, además de la multa, medidas correctivas como la orden de cesar el tratamiento, suprimir datos, publicar la sanción o prohibir temporalmente el tratamiento.
Los infractores con resolución firme quedan inscritos en el Registro Único de Responsables y Encargados Incumplidos (art. 87 RGLOPDP), que es público y se mantiene por 7 años (art. 89 RGLOPDP).
- Arts. 67–72 LOPDP — clasificación de infracciones y sanciones
- Art. 213 CRE — potestad sancionadora de las Superintendencias
- Arts. 247–264 COA — procedimiento administrativo sancionador
- Resolución SPDP-SPD-2025-0022-R — metodología de cálculo de multas
- Arts. 196–200 COIP — delitos informáticos que pueden concurrir con infracciones administrativas (responsabilidad concurrente)
La SPDP comenzó a emitir resoluciones sancionatorias a partir de diciembre de 2025, estableciendo los primeros precedentes interpretativos del sistema LOPDP-RGLOPDP en Ecuador.
